【シリーズ】ISMS新規格の管理策　変更点まとめ＜5.1〜5.5＞

ISMSの新規格、ISO/IEC27001:2022の附属書Aでは、旧規格からの構成変更や管理策同士の統合などが進みました。

統合された管理策の多くは基本的に旧規格の要求を踏襲しているのですが、実は少しずつ要求に変化が生じていたりもします。

そこでこれから少しずつ新規格で変わったことをまとめていきます！

そもそもISMSの規格改訂について知りたい方は以下の記事からチェックいただけます！

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

5.1 情報セキュリティのための方針群

1. 2つの管理策が一つに
   これまでも同じ内容の管理策はありましたが、「方針群を作ること」と「それに問題がないかレビューすること」それぞれ独立した管理策として存在していました。
   
   それが今回の規格改訂では、「方針群の作成〜レビュー」までの営みが一つの流れとしてまとめられています。
   

2. 「認識させること」の要求の明確化
   これまでも方針群を伝達（通知）することはもちろん求められてきましたが、今回の改訂では「認識させること」が明確に記載されています。
   
   だからといって「作った方針群を伝達して認識してもらうこと」は必ず行う行為ではあると思いますし、特に方針については規格本文側で組織で働く人々が認識を持つ必要性について元々定められていたので何らか新たな対応を要するものではないと考えられます。

5.2 情報セキュリティの役割及び責任

1. 割り当てるべき役割及び責任に関する変更
   「情報セキュリティに関する役割及び責任を定めましょう」という要求事項そのものに変化はないのですが、旧規格で「すべての情報セキュリティ」に関してであったものが、新規格では「組織のニーズに従ったもの」にニュアンスが変化しています。
   
   基本的に新たに対応をする必要のあるものはないでしょうが、「こういう役割あるべきで作っていたけど自組織には本当に必要なのか」、また「こういう役割明確にしたほうがスムーズに運用できそう」などあれば、役割・責任を今一度見直してみてよいかもしれません。
   ※規格本文5.3で要求される役割などまで無くしてしまわないよう注意してください。

5.3 職務の分離

1. 職務の分離を行うべき理由の削除
   これまでは職務の分離は「不正変更や不正使用を防ぐために」しなければならないという記載が行われていたのですが、新規格ではこの理由の部分が削除されました。
   
   といって相反する職務や責任範囲は分離するようにしましょうという要求事項は変わっていないので、対応そのものに変更は想定されません。
   また、ISO/IEC27002:2022においては当該管理策の目的として近しいことが記載されています。

5.4 経営陣の責任

1. 経営陣が、組織の情報セキュリティの適用を求めるべき対象の表現の変更
   経営陣の責任として、組織の情報セキュリティルールなどを守るようにメンバーに求めることに変わりはありません。
   
   ただ、その求めるべきメンバーの表現が旧規格では「全ての従業員及び契約相手」と表現していたものが、新規格では「全ての要員」という表現に変えられています。
   
   この「要員」という概念はISO/IEC27002:2022発行時に同規格内で、新たに定義が行われた用語です。
   対象としては、経営陣やトップマネジメント、従業員や臨時スタッフ、契約社員、ボランティアなどの組織メンバーを含む組織の指示下で仕事をしている人々とされています。
   
   行うこと自体は変わらないですが、上記の枠組みに関連して、これまで情報セキュリティの取り組みにおいて考慮していなかった人員がいるようであれば改めて確認しておくとよいかもしれません。

5.5 関係当局との連絡

1. 「確立すること」の要求化
   法的機関や監督省庁などの関係当局との連絡体制を維持することが求められていることに変わりはありません。ただ、新規格では連絡体制は「確立して」維持することが求められています。
   
   「確立」という行為をどのように捉えるかによりますが、普通は維持する連絡体制ができているということは確立されていることが大前提に大前提思いますので、改めて何らか対応を要するものではないと考えられます。
   
   ただせっかくの機会ですので、改めてISMSの取り組みに関連する関連当局との連絡体制が適切に整備されているか再確認してみてもよいかもしれません（例えば現在一定の基準に合致する場合、個人情報保護委員会への報告義務などもありますので今に適応しているか確認してみましょう）。

まとめ

今回はまず5つの管理策について変更点を整理してみました。
統合された管理策は基本的に旧規格に合わせて構築した仕組みで充足できるようなものになっていますが、やはり少しずつニュアンスが変わっていたりはするので、もし新規格が求めていることをしっかりと把握したいといった場合には「変更点」に視点を向けてみてもよいかもしれません。

このシリーズでは1本あたり5管理策ずつぐらい紹介していければと思います。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会